考虑到您的问题表明您已经通过传输 PAN 或存储（部分）PAN 来处理持卡人数据，您属于 SAQ-D 类别。因此，这意味着您应该已经在接受 PCI 审计（假设您每年有超过 30 万笔交易），所以最好与您的 QSA 核实一下，看看他们怎么说。

前 6 位数字不是非常敏感的信息。它们包括 IIN 或发行人识别号 ( https://en.wikipedia.org/wiki/Bank_card_number )。最后四位数字也不被视为敏感信息。事实上，前六位和后四位是允许显示的最大位数（参见 PCI DSS 3.3 https://www.pcisecuritystandards.org/documents/pci_dss_v2.pdf所有其他 PCI 编号参考均来自本文档） .

但是，EXP 日期 + PAN 被视为敏感信息。本文档的第 2 页对存储过程有很好的解释 ( https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf )。

此外，3.4 适用于这种情况。您已通过截断使该数字无法使用（尽管 Luhn 校验和允许该数字是可猜测的）。但是，您必须保护 EXP 日期，并且建议（请注意，它似乎不是必需的）不要将截断的 PAN 存储在计划文本中，而是使用单向散列或加密来堆叠保护。

我对你混合不同要求的含义有一定的混淆。

要求 3.3 “显示时屏蔽 PAN（前六位和后四位是要显示的最大位数）。” 谈论显示而不是存储！ 如果您屏蔽 PAN，它会为该要求提供解决方案。

要求 3.4 3.4 使 PAN 在任何存储的地方都不可读......”谈到存储不显示！

您写了“我需要存储屏蔽 PAN” 屏蔽 PAN 与要求 3.3 相关。并且存储与要求 3.4 相关以满足此要求，您可以使用一种方式散列/截断/加密/令牌